Die Washington Post hat bestätigt, dass sie von einem groß angelegten Cyberangriff betroffen war, bei dem eine Zero-Day-Schwachstelle in der E-Business Suite (EBS) von Oracle ausgenutzt wurde. Der Vorfall ist Teil einer weit verbreiteten Kampagne, die der Ransomware-Gruppe Cl0p zugeschrieben wird und die mit derselben Schwachstelle Tausende von Organisationen weltweit ins Visier genommen hat.
In einer kurzen Erklärung teilte das Unternehmen mit, dass es “von der Verletzung der Oracle E-Business Suite-Plattform betroffen war”. Die Veröffentlichung gab keine Details darüber bekannt, welche Art von Daten betroffen waren, aber Cybersicherheitsanalysten gehen davon aus, dass Angreifer möglicherweise auf sensible Finanz- und Verwaltungsinformationen zugegriffen haben.
Die Schwachstelle hinter dem Vorfall, die als CVE-2025-61882 verfolgt wird, ermöglicht die unbefugte Remote-Ausführung von Code auf ungepatchten Oracle EBS-Servern. Laut den Bedrohungsforschern von Mandiant und der Threat Intelligence Group von Google begann Cl0p Anfang August 2025 mit der Ausnutzung der Schwachstelle, Monate bevor Oracle einen Patch veröffentlichte. Der Exploit wurde als einfach zu implementieren beschrieben und in der Lage, Angreifern die volle Kontrolle über anfällige Systeme zu geben, ohne gültige Anmeldeinformationen zu benötigen.
Oracle veröffentlichte am 4. Oktober einen Fix, nachdem es Anfang des Monats Hinweise auf eine aktive Ausnutzung beobachtet hatte. Das Unternehmen warnte davor, dass jede EBS-Instanz, die über das Internet zugänglich ist und Versionen zwischen 12.2.3 und 12.2.14 ausführt, möglicherweise bereits kompromittiert wurde. Oracle forderte die Kunden auf, den Patch sofort anzuwenden und forensische Überprüfungen durchzuführen, um nicht autorisierte Aktivitäten zu identifizieren.
Cl0p, eine Ransomware-Gruppe, die für groß angelegten Datendiebstahl und Erpressung bekannt ist, hat auf ihrer Leak-Website mehrere betroffene Organisationen aufgelistet, darunter Finanzinstitute, Logistikunternehmen und Technologiedienstleister. Die Gruppe verlangt in der Regel eine Zahlung im Austausch für die Löschung gestohlener Informationen oder die Verzögerung ihrer Veröffentlichung.
Die Washington Post bestätigte zwar, dass sie unter den Betroffenen war, aber die Zeitung sagte, dass sie weiterhin normal arbeite. Die Sicherheitsteams bewerten das Ausmaß des Eindringens und haben zusätzliche Überwachungs- und Zugriffskontrollen implementiert, um eine weitere Kompromittierung zu verhindern.
Globale Ausbeutung und Lieferkettenprobleme
Sicherheitsexperten haben den Angriff als einen der bedeutendsten Verstöße gegen Unternehmenssoftware in den letzten Jahren bezeichnet, da Oracle EBS in den Bereichen Unternehmensfinanzen, Logistik und Personalwesen weit verbreitet ist. Die Plattform dient als Kernsystem für die Verarbeitung sensibler Geschäftsdaten und ist damit ein wertvolles Ziel für finanziell motivierte Bedrohungsakteure.
Die Cl0p-Kampagne ist ein weiteres Beispiel dafür, wie Angreifer von Verstößen einzelner Unternehmen zur Ausnutzung von Anbieter-Ökosystemen übergehen. Durch die Kompromittierung einer häufig genutzten Unternehmensplattform kann ein einzelner Exploit den Zugriff auf mehrere Clients gleichzeitig ermöglichen. Diese Strategie spiegelt frühere Cl0p-Operationen wider, wie z. B. die MOVEit-Dateiübertragungsangriffe, von denen Regierungsbehörden und globale Unternehmen im Jahr 2023 betroffen waren.
Forscher warnen davor, dass Unternehmen, die auf Unternehmenssoftware von Drittanbietern angewiesen sind, nach wie vor stark gefährdet sind. Das erste Eindringen erfolgt häufig durch Schwachstellen in der Anwendungsschicht, wodurch standardmäßige Endpunktschutzmaßnahmen umgangen und die Erkennung erschwert werden. Einmal drin, können sich Angreifer seitlich durch vertrauenswürdige Systeme bewegen, sensible Daten exfiltrieren und Erpressungskampagnen starten.
Für betroffene Unternehmen empfehlen Experten eine Kombination aus Patching, Netzwerksegmentierung und kontinuierlicher Überwachung. Systeme, auf denen ältere oder angepasste Versionen von Oracle EBS ausgeführt werden, sollten bei der Überprüfung priorisiert werden, und alle externen Verbindungen zur Plattform sollten eingeschränkt werden.
Obwohl der Oracle-Patch die Schwachstelle behebt, glauben die Ermittler, dass einige kompromittierte Systeme möglicherweise bereits persistente Hintertüren enthalten, die bereits vor der Veröffentlichung des Fixes installiert wurden. Daher kann es sein, dass die Bedrohung durch das Anwenden des Updates allein nicht beseitigt wird. Sicherheitsteams wird empfohlen, eine detaillierte forensische Analyse durchzuführen, um zu bestätigen, dass Angreifer keinen Zugriff mehr haben.
Die Beteiligung der Washington Post an der Sicherheitsverletzung unterstreicht die wachsenden Auswirkungen von Cybervorfällen in der Lieferkette, die sich über Branchen und Sektoren erstrecken. Da Angreifer weit verbreitete Geschäftsplattformen ausnutzen, können selbst Unternehmen mit starken internen Abwehrmechanismen indirekt betroffen sein.
Die Untersuchung der Oracle EBS-Angriffe dauert an, und sowohl Oracle als auch die Cybersicherheitsbehörden des Bundes arbeiten mit den betroffenen Unternehmen zusammen, um das volle Ausmaß der Kampagne zu bewerten. Im Moment dient der Vorfall als eine weitere Erinnerung daran, dass Schwachstellen in Unternehmenssoftware schnell zu Einstiegspunkten für globale Ransomware-Gruppen mit erheblicher Reichweite und Ressourcen werden können.